Santiago Núñez Consultor Técnico Microsoft Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft
Principios de Seguridad Confidencialidad Integridad Disponibilidad Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información Integridad: asegurar que la información no ha sido modificada Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones
Parámetros de seguridad Situación actual Procesos Tecnología La seguridad se administra desde 3 aspectos clave, sin una correcta aproximación a cada uno de estos aspectos de forma equilibrada tendremos que dedicar mayores recursos en el resto de los aspectos para que el centro de atención no se desplace. Cada uno de estos aspectos funciona como un vector que provoca un desequilibrio. Así podemos tener una capacidad tecnológica grande pero careciendo de procesos correctos y de la suficiente predisposición de la gente la fuerza de estos dos vectores impedirán que únicamente la tecnología pueda asegurar unos niveles de seguridad suficientes. En este aspecto ISO 17799 cumple una función importante en cuanto la definición de los procesos a establecer y las responsabilidades requeridas a las personas que utilizan el sistema. Microsoft por su parte dota a esos procesos y a esas personas de la tecnología suficiente para implementarlos. + - Gente
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Seguridad de los servidores Situación actual Servidores con diversas funciones Recursos limitados para implementar soluciones seguras Utilización de sistemas antiguos Amenaza interna o accidental Carencia de experiencia en seguridad El acceso físico anula muchos procedimientos de seguridad Consecuencias legales
Seguridad de los servidores Situación actual La complejidad es enemiga de la seguridad
Seguridad de los servidores Primeros pasos Diferenciar los servidores: Valor o criticidad de los datos o aplicaciones Nivel de exposición Rol o función Y entonces: Priorizar los recursos destinados Aplicar distintas políticas según el rol y el nivel de exposición
Diferenciar servidores Según su criticidad La criticidad de un servidor la puede determinar: Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles El servicio que ofrece El nivel de servicio necesario (SLA) Una infraestructura debe “aislar” los sistemas más críticos La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad
Diferenciar servidores Según su ubicación La ubicación puede determinar el nivel de exposición a distintos atacantes Zona interna de confianza Zona de acceso remoto Zona perimetral Las políticas de seguridad pueden variar según la exposición
Diferenciar servidores Según su funcionalidad Cada servidor tendrá una serie de funcionalidades lícitas Controladores de dominio Servidores de infraestructura: DHCP, WINS Servidores de archivos Servidores de impresión Servidores de aplicación IIS Servidores de autenticación IAS Servidores de certificación Servidores bastiones Pueden aparecer otros roles Hacer que cada servidor sea un representante único de su rol, dificulta la gestión.
Estrategia de Defensa en Profundidad Cada capa establece sus defensas: Datos y Recursos: ACLs, Cifrado Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Defensas de Perímetro Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos
Estrategia de Defensa en Profundidad Directivas, procedimientos, formación y concienciación Cada capa asume que la capa anterior ha fallado: Medidas redundantes Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Seguridad física Defensas de Perímetro Asume fallo de la capa anterior Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos
Seguridad de Servidor Prácticas Básicas Aplicar Service Packs Aplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridad “TechNet Security Day I”
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Seguridad en Entornos Confiados Estrategia Asegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las implicaciones de seguridad Revisar el diseño actual Crear una Línea Base de Seguridad para todos los servidores integrantes “Mínimo Común” de la seguridad Afinar esa Base para cada uno de los roles específicos
Active Directory Componentes Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red
Active Directory Consideraciones de diseño Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos Seguridad basada en la infraestructura de dominios Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins) Delegar tareas administrativas Crear una Estructura de Unidades Organizativas Para delegación de administración. Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades
Diseño de Active Directory Plan de Seguridad Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia
Diseño de Active Directory Recomendaciones de Administración Separación de roles de administración Administradores de servicio Encargados de configurar y administrar los distintos servicios de AD Controlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de AD Administran los controladores de dominio y servidores de infraestructura Administradores de datos Administran subconjuntos de objetos de AD: Usuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que contienen
Diseño de Active Directory Autonomía o Aislamiento Autonomía (control no exclusivo) Autonomía de servicio Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, políticas de contraseña Autonomía de datos Crear una OU para delegar control a los administradores de datos Aislamiento (control exclusivo) Aislamiento de servicio Crear un bosque Aislamiento de datos Crear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de servicio
Administración Active Directory Recomendaciones generales Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración Autenticación de dos factores: Smart Card y PIN
Diseño de Active Directory Bosques Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Bosques y dominios Bosque = Límite real de seguridad Dominio = Límite de gestión para administradores con buen comportamiento Múltiples bosques Bosque Trust
Diseño de Active Directory Jerarquía de Unidades Organizativas Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa
Directiva de Grupo de Dominio Fortalecimiento de la configuración Revisar y modificar la Directiva por defecto Es posible que no se adecue a las políticas de la empresa Para modificarla existen dos estrategias: Modificar la Directiva por defecto Crear una Directiva Incremental Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas
Demostración Delegación de administración y aplicación de una plantilla de seguridad Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominio En esta demostración, verá cómo: Crear una estructura de unidades organizativas. Delegar el control de una unidad organizativa en un grupo administrativo. Aplicar la plantilla de seguridad de dominios.
Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Seguridad Active Directory Directiva de línea de base de servidores integrantes Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en funciones Configuración de seguridad de línea de base para todos los servidores integrantes Opciones de configuración adicionales para servidores con funciones específicas Utilizar GPResult para verificar la aplicación
Línea Base de Seguridad Recomendaciones Se aplicará a todos los servidores integrantes No a los controladores de dominio Opciones de la plantilla: Directiva de auditoria Inicio y fin de sesión, cambios en la política Asignación de derechos de usuario Permitir inicio de sesión local en los servidores Opciones de seguridad Nombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesión Registro de sucesos Tamaño Servicios del sistema Comportamiento de inicio
Línea Base de Seguridad Recomendaciones No aplicar directamente las plantillas: Revisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio antes de implementarlos en producción
Línea Base de Seguridad Posibles cambios Para evitar operaciones remotas de los administradores de servicio Utilizar la política “Denegar inicio de sesión desde red” Cuidado con las opciones del registro de sucesos cuando se llena Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: “Firmar digitalmente las comunicaciones (siempre)” (SMB) “No permitir enumeraciones anónimas de cuentas” “No almacenar el valor de hash de Lan Manager” “Nivel de Autenticación de Lan Manager”
Línea Base de Seguridad Otras opciones Asegurar la pila TCP/IP Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Asegurar un Controlador de Dominio Son los servidores más importantes de la infraestructura Poseen la información de todos los objetos del Active Directory La seguridad física es importante Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica Se deben almacenar en entornos con control de acceso Proceso de Instalación: En ubicaciones controladas Bajo la supervisión de administradores Utilizando procedimientos automatizados
Controladores de dominio Plantilla de seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios Inicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradores Restauración: Sólo administradores Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: DFS DNS NTFRS KDC
Controladores de Dominio Medidas de Seguridad Adicionales Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS Utilizar actualizaciones dinámicas seguras Limitar las transferencias de zonas Bloquear puertos con IPSec
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Asegurar un Servidor de Infraestructura Servidores DHCP y WINS Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras Se configurarán manualmente las opciones adicionales
Servidor de Infraestructura Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y WINS
Servidor de Infraestructura Configuraciones adicionales Es recomendable establecer las siguientes configuraciones adicionales: Configuración de registro (log) de DHCP Protección frente a DoS (80/20) Evitar perdida de servicio Usar cuentas de servicio: No privilegiadas Cuentas locales Protección de cuentas locales: Administrador Invitado Permitir tráfico sólo a puertos autorizados mediante filtros IPSec
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Asegurar un Servidor de Archivos Balanceo entre seguridad y facilidad de uso Basados en SMB o CIFS: Utilizan NetBIOS Proporcionar información a usuarios no autenticados
Servidor de Archivos Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Deshabilitar DFS y NTFRS si no son necesarios DFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficheros
Servidor de Archivos Configuraciones adicionales Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante NTFS Sobre los recursos compartidos Evitar: Todos/Control Total Uso de auditoria sobre archivos importantes: Perjudica el rendimiento Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Asegurar un Servidor de Aplicaciones IIS Se debe proteger cada servidor IIS y cada aplicación Se utilizará una plantilla incremental
Servidor de Aplicaciones IIS Plantilla de seguridad Aplica las directivas de la Línea Base de Seguridad Permisos de usuario: “Denegar acceso a este equipo desde la red” Incluir: administrador local, Invitado, etc. Servicios para incluir: HTTP SSL IIS Admin W3C
Servidor de Aplicaciones IIS Configuraciones adicionales Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos IIS sobre los sitios web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Entornos no Confiados Acercando los servidores al enemigo Servidores en redes perimetrales Servidores DNS públicos Servidores de aplicación IIS Servidores de VPN Servidores en redes de acceso remoto Servidores de autenticación IAS
Entornos no Confiados Estrategias Utilizar Servidores Independientes Cuentas locales Directivas de seguridad local Utilizar un bosque dedicado Permite utilizar cuentas de administración comunes Permite aplicar Directivas de Seguridad de Grupo Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos
Servidores independientes Aplicación de plantillas de seguridad Plantillas de seguridad para cada servidor o rol Aplicación local mediante herramientas “Configuración y Análisis de Seguridad” Permite la comparación y la aplicación de varias plantillas de seguridad “SecEdit” Línea de comandos Permite aplicar plantillas mediante scripts
Bosque dedicado Aplicación de políticas Bosques independientes Permite una administración centralizada de la red perimetral
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Bastionado Servidores con acceso público Servidores expuestos a ataques externos. Minimizar la superficie de ataque. Normalmente uno de los siguientes roles Servidores de Aplicación IIS Servidores DNS Servidores SMTP Otros servicios de Internet: NNTP, FTP Servidores Independientes Política de seguridad muy restrictiva
Bastionado Política de seguridad Derechos de usuario “Permitir el inicio de sesión local” Administradores “Denegar el acceso desde la red a este equipo” ANONYMOUS LOGON Administrador Support_388945a0 Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SO
Bastionado Política de seguridad Servicios deshabilitados Todos los de la Línea Base y algunos más: Actualizaciones automáticas Administrador de acceso remoto Cliente DHCP Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Windows NT Registro Remoto Servidor Servicios de Terminal Services TCP/IP NetBIOS Helper Service NetBIOS sobre TCP/IP
Bastionado Política de seguridad Servicios habilitados Sólo los servicios imprescindibles Correspondiente al rol “SMTP”, “W3C” Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon) Estación de trabajo
Bastionado Configuraciones adicionales Deshabilitar los protocolos innecesarios Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP Asegurar las cuentas conocidas Invitado Administrador Bloqueo de puertos mediante IPSec
Bastionado Filtrado IPSec Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado Desde IP A IP Protocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet N/D Bloquear TCP 80 Permitir
Demostración Aplicación de la plantilla de seguridad de bastionado Aplicación de la plantilla de seguridad a un servidor independiente
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Servidor de Aplicaciones IIS Reforzar la seguridad Se aplican las recomendaciones anteriores para entornos de confianza Servidores independientes si no se necesitan cuentas de dominio Bosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0: Aislamiento de aplicaciones Cuentas con el menor privilegio
Servidor de Aplicaciones IIS Aislamiento de aplicaciones Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro Asignar aplicaciones a diferentes “grupos de aplicación”
Servidor de Aplicaciones IIS Aislamiento de aplicaciones Asignar identidades únicas: A cada grupo de aplicación Al usuario anónimo de cada sitio Añadir la identidad de cada “grupo de aplicación” al grupo IIS_WPG Asignar permisos NTFS para el contenido de cada aplicación
Agenda Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS
Servidor de Autenticación IAS RADIUS Utilizado para autenticar a los clientes externos Acceso remoto Clientes wireless Expuestos a ataques externos Deshabilitar los elementos innecesarios
Windows Server 2003 Security Guide Objetivos de diseño Proporcionar guías para: Usuarios finales Administradores de Sistemas Administradores de Seguridad Estas guías son: Guías probadas en entornos reales Diseñadas para preocupaciones reales de seguridad Apropiadas para situaciones reales
Windows Server 2003 Security Guide Plantillas de seguridad Plantillas para tres escenarios: “Legacy templates”: predomina la compatibilidad sobre la seguridad “Enterprise templates”: apropiadas para la mayoría de los entornos “High-security”: mayor restricción de seguridad, sin compatibilidad
Resumen
Asegurar Windows Server 2003 Estrategia Diferenciar los servidores por su criticidad, ubicación y rol. Estrategia de Defensa en Profundidad. Implementar políticas de seguridad basadas en la guía de recomendaciones “Windows Server 2003 Security Guide”
Diseño de Active Directory Estrategia Los Bosques establecen los Límites Reales de Seguridad. Diferenciar los Roles de Administración Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo
Servidores en Entornos Confiados Estrategia Establecer Directiva de Grupo de Dominio Crear una Línea Base de Seguridad Común Afinar con Directivas de Grupo para cada Rol de Servidores
Servidores en Entornos no Confiados Estrategia Utilizar Servidores Independientes si es posible Aplicar Directivas Locales para cada Servidor Utilizar Filtros IPSec para reducir la Superficie de Ataque
Preguntas y respuestas
Para obtener más información Sitio de seguridad de Microsoft http://www.microsoft.com/security http://www.microsoft.com/spain/seguridad/ Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security/ http://www.microsoft.com/spain/technet/seguridad/ Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security
Barcelona 4 Mayo 2004